2026年4月、分散型金融(DeFi)プロトコルであるKelp DAOが大規模なセキュリティ侵害を受け、約2億9200万ドル(約450億円)相当の再ステーキングされたイーサリアム(rsETH)が流出しました。この事件は、クロスチェーンブリッジの脆弱性と、進化するサイバー攻撃の脅威を浮き彫りにし、DeFiエコシステム全体に深刻な影響を及ぼす可能性が指摘されています。
本記事では、Kelp DAO事件の詳細、攻撃の手口、DeFiプロトコルAaveへの影響、そして北朝鮮関連ハッカー集団の関与の可能性について、2026年最新の情報を基に解説します。読者の皆様がDeFiの安全性について理解を深め、今後の投資判断に役立つ実用的な情報を提供することを目的とします。
Kelp DAOとは?リキッドリステーキングプロトコルの役割
Kelp DAOは、イーサリアムのリキッドリステーキングプロトコルであり、ユーザーがETHを預け入れることで、EigenLayerを通じて追加のイールド(利回り)を獲得できるように設計されています。預け入れられたETHに対して、ユーザーにはrsETH(再ステーキングされたETH)という取引可能なレシートトークンが発行されます。このrsETHは、通常のイーサリアムステーキング報酬に加えて、EigenLayerのセキュリティと信頼性を活用したさらなる収益機会を提供します。リキッドリステーキングは、ステーキングされた資産の流動性を維持しつつ、複数のプロトコルに再利用することで、資本効率を最大化するDeFiの革新的なメカニズムとして注目されています。
2.92億ドル流出事件の概要と経緯
Kelp DAOに対する攻撃は、週末のUTC午後5時35分に発生しました。攻撃者は、Kelp DAOのLayerZeroを基盤とするクロスチェーンブリッジから、116,500 rsETHを流出させました。これは、当時の価格で約2億9200万ドルに相当し、CoinGeckoが追跡しているrsETHの総流通供給量約630,000トークンのうち約18%を占める大規模なものでした。
このブリッジは、20以上の他のブロックチェーンに展開されているrsETHのラップドバージョンを裏付ける準備金を保持していました。攻撃後、Kelpの緊急停止マルチシグ(複数の署名が必要なウォレット)は、流出から46分後のUTC午後6時21分にプロトコルのコアコントラクトを凍結しました。その後、UTC午後6時26分と午後6時28分に2回の追跡攻撃が試みられましたが、これらは失敗に終わり、それぞれが約1億ドル相当の40,000 rsETHをさらに流出させようとしていたことが判明しました。
攻撃の手口:LayerZeroブリッジの悪用
今回の攻撃は、Kelp DAOと密接に連携するクロスチェーンメッセージングレイヤーであるLayerZeroの脆弱性を悪用したものです。LayerZeroは、異なるブロックチェーン間で検証された指示を安全に送受信するためのインフラストラクチャを提供します。攻撃者は、LayerZeroのクロスチェーンメッセージングレイヤーを欺き、別のネットワークから有効な指示が届いたと認識させました。これにより、Kelpのブリッジは、攻撃者によって制御されるアドレスに116,500 rsETHを放出するようトリガーされました。
この手口は、クロスチェーン通信の信頼性メカニズムの盲点を突いたものであり、単なるコードのバグや資格情報の盗難とは異なる、より巧妙な攻撃方法を示唆しています。クロスチェーンブリッジは、DeFiの相互運用性において不可欠な要素ですが、その複雑性ゆえにセキュリティリスクも内在しており、今回の事件はその典型的な例と言えるでしょう。
DeFiエコシステムへの波及:Aaveへの影響と連鎖反応
Kelp DAOの流出事件は、DeFiエコシステム全体に波紋を広げ、特に大手レンディングプロトコルであるAaveが最大2億3000万ドルの損失に直面する可能性があるとCoinDeskは報じています。これは、Kelp DAOブリッジの悪用がDeFi市場に混乱を引き起こし、関連する担保資産の価値に影響を与えたためです。rsETHのようなリキッドリステーキングトークンは、DeFiプロトコルで担保として広く利用されており、その信頼性が揺らぐことは、連鎖的な清算や価格変動を引き起こす可能性があります。
Aaveのような主要なDeFiプロトコルがこのようなリスクに晒されることは、DeFi市場全体の安定性にとって大きな懸念材料となります。プロトコル間の相互依存性が高まる中で、一つの脆弱性が広範囲に影響を及ぼす「DeFiの伝染」リスクが改めて浮き彫りになりました。各プロトコルは、このようなリスクを軽減するための対策を講じる必要があります。
北朝鮮関連ハッカー集団の関与の可能性
今回のKelp DAOへの攻撃には、北朝鮮に関連するハッカー集団が関与している可能性が指摘されています。CoinDeskの報道によると、北朝鮮関連のハッカーは、最近Driftという暗号資産取引会社をソーシャルエンジニアリングで攻撃したばかりであり、Kelp DAOへの攻撃も彼らの仕業である可能性が高いとされています。これは、北朝鮮関連のハッカー集団が、単にバグや盗まれた資格情報を探すだけでなく、分散型システムの基本的な前提を悪用する方向に戦術を進化させていることを示唆しています。
彼らの攻撃は、より組織的かつ高度になっており、DeFiプロトコルの複雑な相互作用を深く理解していることが窺えます。国家が支援するハッカー集団によるDeFiへの攻撃は、その資金調達源となり得るため、業界全体として警戒を強め、より堅牢なセキュリティ対策を講じることが急務となっています。
クロスチェーンセキュリティの課題と重要性
Kelp DAO事件は、クロスチェーンブリッジがDeFiエコシステムにおいて最も脆弱なポイントの一つであることを改めて示しました。異なるブロックチェーン間の資産移動を可能にするブリッジは、DeFiの拡大に不可欠ですが、その設計と実装は極めて複雑であり、潜在的な攻撃経路を多く含んでいます。LayerZeroのようなクロスチェーンメッセージングレイヤーは、相互運用性の実現に貢献しますが、その検証メカニズムが悪用されると、今回のように大規模な資産流出につながる可能性があります。
今後、クロスチェーン技術の進化とともに、セキュリティ監査の強化、複数の監査機関によるレビュー、バグバウンティプログラムの拡充、そして緊急停止メカニズムの迅速な発動など、多層的なセキュリティ対策が不可欠となります。また、ユーザー自身も、利用するブリッジプロトコルのセキュリティ体制や履歴を十分に調査し、リスクを理解した上で利用することが重要です。
今後の対策とユーザーへの推奨事項
Kelp DAOのチームは、攻撃発生から46分後に緊急停止マルチシグを発動し、プロトコルのコアコントラクトを凍結しました。これは、被害の拡大を防ぐための迅速な対応でしたが、すでに大規模な資産が流出した後でした。今後の対策としては、攻撃の根本原因を徹底的に分析し、LayerZeroとの連携におけるセキュリティギャップを埋めることが最優先事項となります。
ユーザーの皆様は、以下の点に注意し、自身の資産を保護するための対策を講じることを強く推奨します。
- 情報の確認: プロトコルの公式アナウンス、信頼できるDeFiニュースソースから最新情報を入手しましょう。
- リスク分散: 単一のプロトコルやブリッジに多額の資産を集中させることは避け、ポートフォリオを分散させましょう。
- セキュリティ監査: 利用するプロトコルが定期的にセキュリティ監査を受けているか、著名な監査機関によるレビューがあるかを確認しましょう。
- 緊急対応計画: 万が一の事態に備え、資産移動の準備や、リスク許容度に応じた対応計画を立てておきましょう。
まとめ
Kelp DAOの2.92億ドル規模のハッキング事件は、2026年におけるDeFiセキュリティの最大の脅威の一つとなりました。この事件は、クロスチェーンブリッジの複雑な性質と、北朝鮮関連ハッカー集団の進化する攻撃戦術がDeFiエコシステムにもたらすリスクを鮮明に示しています。DeFiの未来は、技術革新だけでなく、強固なセキュリティ基盤の上に築かれなければなりません。プロトコル開発者、監査機関、そしてユーザー一人ひとりがセキュリティ意識を高め、協力してより安全で堅牢な分散型金融の世界を構築していくことが求められます。今回の事件から得られた教訓は、DeFiの継続的な成長と普及にとって不可欠なものとなるでしょう。
